تحلیل قدرت رمز عبور کاربر در برابر شکسته شدن!

محبوب‌ترین نوع رمز عبور (28%) شامل حروف کوچک و بزرگ، کاراکترهای خاص و اعداد است. بسیاری از این رمزهای عبور در نمونه مورد بررسی به سختی بروت فورس شده‌اند.

حدود 5٪ از رمزهای عبور را می‌توان در یک روز حدس زد، اما 85٪ از این نوع رمزهای عبور بیش از یک سال زمان نیاز دارند. زمان کرک رمز عبور به طول آن بستگی دارد. رمز عبور 9 کاراکتری را می‌توان در طول یک سال حدس زد، اما رمز عبوری که حاوی 10 کاراکتر باشد، بیش از یک سال زمان خواهد برد.

گذرواژه‌هایی که کمترین مقاومت را در برابر حملات بروت فورس دارند، آنهایی هستند که فقط از حروف یا فقط از اعداد و یا فقط از کاراکترهای خاص تشکیل شده‌اند. 14 درصد از پسورهای بررسی شده توسط کسپرسکی در این دسته قرار دارند. اکثر آنها را می‌توان در کمتر از یک روز کرک کرد. گذرواژه‌ قوی حداقل از یازده کاراکتر تشکیل شده و ترکیبی از حروف کوچک و بزرگ، اعداد و کارکترهای خاص است.

حملات بروت فورس هوشمند

همانطور که بالاتر ذکر شد، بروت فورس یک الگوریتم حدس زدن رمز عبور غیربهینه است. گذرواژه‌ها اغلب از ترکیب کاراکترهای خاصی همچون کلمات، نام‌ها، تاریخ‌ها، دنباله ها (“12345” یا “qwerty”) تشکیل شده‌اند. چنانچه الگوریتم بروت فورس اینگونه در نظر گرفته شود، آنگاه روند تست و تشخیص گذرواژه سریع‌تر خواهد شد.

• bruteforce_corr: یک نسخه بهینه از متد بروت فورس است. شما می‌توانید از یک نمونه بزرگ برای اندازه گیری فرکانس یک الگوی رمز عبور خاص استفاده کنید. شما در مرحله بعد، می‌توانید درصدی از زمان محاسباتی را به هر دسته، اختصاص دهید که با فرکانس واقعی آن مطابقت داشته باشد. بنابراین، اگر سه الگو وجود داشته باشد و نمونه اول در 50٪ موارد، و نمونه‌های دوم و سوم در 25٪ موارد استفاده شده باشند، آنگاه رایانه در هر دقیقه، 30 ثانیه را برای شمارش الگوی اول و 15 ثانیه را برای شمارش الگوهای دوم و سوم صرف خواهد کرد.
• zxcvbn: یک الگوریتم پیشرفته برای سنجش قدرت رمز عبور است. این الگوریتم، الگویی را که رمز عبور به آن تعلق دارد، مانند “کلمه، سه رقم” و یا “کاراکترهای خاص، کلمه موجود در دیکشنری، دنباله عددی” شناسایی می‌کند. الگوریتم در مرحله بعد، تعداد تکرارهای مورد نیاز برای شمارش هر عنصر در الگو را محاسبه می‌کند. این روش یک محدودیت دارد و آن هم این است که شمارش موفقیت آمیز، مستلزم تعیین رمز عبور یا در نظر گرفتن یک الگو است. شما می‌توانید با استفاده از نمونه‌های ربوده شده، به محبوبیت الگوها پی ببرید و سپس مانند بروت فورس، مقداری از زمان محاسباتی را متناسب با وقوع آن به الگو اختصاص دهید. کسپرسکی این الگوریتم را به عنوان ” zxcvbn_corr” تعیین کرده است.
• Unigram: ساده‌ترین نوع الگوریتم است. این الگوریتم به جای نیاز به الگوی رمز عبور، به میزان تکرار هر کاراکتر متکی است. این الگوریتم به هنگام شمارش، محبوب‌ترین کاراکترها را اولویت بندی می‌کند. بنابراین، برای تخمین زمان کرک، کافی است احتمال ظاهر شدن کاراکترها در رمز عبور محاسبه شود.
• 3gram_seq و ngram_seq: الگوریتم‌هایی هستند که احتمال کاراکتر بعدی را بسته به n-1 کاراکتر قبلی محاسبه می‌کنند. الگوریتم پیشنهادی در حالی که با طولانی‌ترین و متداول‌ترین n-gramها  آغاز می‌شود، شروع به شمارش یک کاراکتر می‌کند و سپس به ترتیب، کاراکتر بعدی را اضافه می‌کند. n-gram، دنباله‌ای از n “کلمه” است که از بدنه متن گرفته شده است. کسپرسکی در این مطالعه، از n-gramهایی از ۱ تا ۱۰ کاراکتر استفاده کرده است که بیش از ۵۰ بار در پایگاه داده رمز عبور ظاهر شده بودند. الگوریتم 3gram_seq به n-gramهایی تا سه کاراکتر محدود شده است.
• 3gram_opt_corr و ngram_opt_corr: این الگوریتم نسخه بهینه شده n-gram است. الگوریتم قبلی، رمز عبور را از ابتدای رشته با افزودن یک کاراکتر در هر بار تولید می‌کند. با این حال، در برخی موارد اگر از انتها، وسط و یا از چندین موقعیت رشته به طور همزمان کاراکتر اضافه شود، شمارش سریعتر انجام خواهد شد.

الگوریتم‌های *_opt_*، انواع توصیف شده در بالا را برای یک رمز عبور خاص بررسی کرده و بهترین آنها را انتخاب می‌کنند.

کسپرسکی در این مطالعه بهترین زمان کرک در بین همه الگوریتم‌های مورد استفاده را محاسبه کرده است. این یک مورد ایده آل فرضی است. شما برای پیاده‌سازی آن، باید یک الگوریتم مناسب را حدس بزنید یا هر یک از الگوریتم‌های فوق‌الذکر را به طور همزمان بر روی یک GPU مخصوص به خود اجرا کنید.

جدول زیر نتایج سنجش قدرت رمز عبور را با اجرای الگوریتم‌ها بر روی یک پردازنده گرافیکی RTX 4090 برای MD5 همراه با salt ارائه کرده است.